Аудит объекта исследования

В качестве объекта исследования в настоящей работе рассматривается Муниципальное Бюджетное образовательное учреждение Средняя общеобразовательная школа №47 с углубленным изучением отдельных предметов г.Киров (далее – МБУ СОШ №47).
МБУ СОШ №47 является муниципальной гражданской светской некоммерческой общеобразовательной организацией.
Основным видом деятельности МБУ СОШ №47 является реализация образовательных программ начального общего, основного общего и среднего общего образования, обеспечивающая дополнительную (углубленную) подготовку учащихся по одному или нескольким предметам.
Основными целями деятельности МБУ СОШ №47 являются:
- создание условий для усвоения учащимися образовательных программ начального общего, основного общего и среднего общего образования, реализуемых МБУ СОШ №47;
- создание благоприятных условий для свободного, разностороннего развития личности;
- создание условий для осознанного выбора и последующего освоения профессиональных образовательных программ;
- создание условий, гарантирующих охрану и укрепление здоровья учащихся.
МБУ СОШ №47 осуществляет переезд в новое построенное здание в котором отсутствует информационная инфраструктура в связи с чем требуется реализация защищенной сети передачи данных для выполнения МБУ СОШ №47 своих уставных целей.
МБУ СОШ №47 управляется директором школы. Непосредственное воздействие на учебный процесс оказывают педагогический совет и родительский комитет. Директору школы непосредственно подчиняются секретарь учебной части, кадровая служба и бухгалтерия, а также обслуживающий персонал. За организацию учебного процесса отвечают соответствующие заместители директора школы. На рисунке 1.1 показана организационная структура управления МБУ СОШ №47.
Рисунок 1.1 - Организационная структура управления МБУ СОШ №47
Информационными ресурсами МБУ СОШ №47 являются:
- информационная система «Автоматизированная система управления образовательным учреждением» (далее – АСУ ОУ);
- база данных АСУ ОУ;
- средства вычислительной техники МБУ СОШ №47 (компьютеры и сервера);
- сетевое оборудование и линии связи.
Информационные ресурсы МБУ СОШ №47 функционируют на базе локальной вычислительной сети (далее – ЛВС) МБУ СОШ №47. ЛВС МБУ СОШ №47 объединяет вычислительные ресурсы ЛВС) МБУ СОШ №47 с целью информатизации и автоматизации управления деятельностью и функционированием ЛВС МБУ СОШ №47.
На рисунке 1.2 показана структурная схема ЛВС МБУ СОШ №47.
Рисунок 1.2 - Структурная схема ЛВС МБУ СОШ №47
Взаимодействие с ресурсами сети Интернет осуществляется посредством маршрутизирующего устройства.
Технические характеристики типового маршрутизатора:
•WAN порты Ethernet 3 x 10/100/1000Base-TX;
•типы WAN-подключений - L2TP, PPPoE, Динамический IP, Статический IP;
•порты консольные RJ-45 (RS232), AUX RJ-45 (RS232), mini-USB;
•слоты интерфейсных карт 1 слот.
Для агрегации и резервирования каналов используются коммутаторы L3 уровня.
Технические характеристики:
- количество портов Gigabit Ethernet 10/100/1000 – 24-48;
- количество портов Gigabit Ethernet SFP – 2-4;
- пропускная способность, Гбит/с – до 32.
Для коммутации трафика внутри сети используются коммутаторы L2 уровня.
Технические характеристики:
- количество портов Gigabit Ethernet 10/100/1000 – 24-48;
- количество портов Gigabit Ethernet SFP – 2-4;
-пропускная способность 74.4 Гбит/с.
В состав МБУ СОШ №47 входят следующие серверные роли:
- сервер информационной системы АСУ ОУ;
- файловый сервер;
- сервер резервирования.
Типовая техническая конфигурация серверов:
- процессор -3.30 ГГц (2-ядерный);
- объем оперативной памяти 4 Гб;
- RAID 0/1/5/10;
- форм-фактор 1U Rack.
Типовая техническая конфигурация рабочих мест пользователей:
- процессор Intel Celeron i3;
- размер жесткого диска 1Тб.
В зависимости от технической оснащенности и масштаба учебного учреждения объем рабочих мест пользователей может сильно варьироваться от 20 до 300 шт. В соответствии с данными сведениями архитектуры классических МБУ СОШ можно условно классифицировать, на:
- малая – до 50 сетевых узлов;
- средняя – 51 – 150 сетевых узлов;
- большая – 151 – 300 сетевых узлов.
В рассматриваемой МБУ СОШ №47 имеется порядка 50 средств вычислительной техники, что соответствует малой сетевой архитектуре.
Применяемое системное программное обеспечение:
- Microsoft Windows Server, версий: 2008, 12;
- Microsoft Windows, версий: 7 Pro, 8.1 Pro, 10 Pro.
Применяемое прикладное программное обеспечение: Microsoft SQL Server, Microsoft Office 2013, АИС ОУ Клиент, Kaspersky Endpoint Security, средство защиты информации от несанкционированного доступа, антивирусное средство.
На уровне узлов сети осуществляется:
- антивирусная защита – антивирус Kaspersky Endpoint Security;
- защита от несанкционированного доступа, обеспечение целостности, аудит пользовательских действий – средство защиты от несанкционированного доступа Dallas Lock 8.0-К.
Физически ЛВС МБУ СОШ №47 функционирует в пределах 2х этажного здания

. Сервера и сетевое оборудование размещены в помещениях аппаратной на 1 и 2 этажах.
Для коммутации компонентов ЛВС МБУ СОШ №47 используется структурированной кабельной системы
Структурированность кабельной сети предполагает разграничение всей ЛВС МБУ СОШ №4 на несколько основных подсистем:
−магистральную подсистему;
−горизонтальную подсистему;
−рабочее место;
−аппаратная.
Магистральная подсистема служит для соединения между собой различных сегментов, а также для организации доступа к сети Интернет. Проложена волоконно-оптическими линиями связи.
Горизонтальная подсистема коммутирует порт сетевого устройства и рабочую станцию в пределах одного этажа. Либо патч-панель и оконечную розетку. Проложены кабелем типа «витая пара».
Каждое из рабочих мест должно быть оборудованы телекоммуникационными розетками, содержащими три экранированных порта категории 5е, которые предназначаются для подключения персонального компьютера и телефона.
Все кабельные линии прокладываются в кабель-каналах и гофротрубах в запотолочном пространстве, что исключает несанкционированный доступ к линиям связи.
АСУ ОУ используется для управления процессами МБУ СОШ №47. Функциональное назначение:
- ведение методической и образовательной деятельности сотрудниками МБУ СОШ №47;
- управление кадрами и бухгалтерией МБУ СОШ №47;
- предоставление доступа родителям к сведениям об успеваемости обучающихся;
- предоставления доступа учащимся к электронной библиотеке и методическим пособиям МБУ СОШ №47.
АСУ ОУ реализована на клиент-серверной архитектуре. На рисунке 1.3 представлена программная архитектура МБУ СОШ №47 с указанием используемых модулей и протоколов.
Рисунок 1.3 - Программная архитектура МБУ СОШ №47
Обрабатываемая информация в МБУ СОШ №47 включает в себя данные, обязательное ограничение доступа, к которым регламентируется в соответствии с действующим законодательством Российской Федерации (таблица 1.1).
Перечень сведений конфиденциального характера МБУ СОШ №47
Таблица 1.1
№ п/п Наименование сведений Гриф конфиденциальности Нормативный документ, реквизиты, № статей
1. Сведения, составляющие коммерческую тайну Для служебного пользования Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) "О коммерческой тайне"
2. Персональные данные сотрудников и учащихся [5] Для служебного пользования Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) "О персональных данных"
В состав коммерческой тайны входят производственные, технические, экономические, организационные и иные сведения несанкционированный доступ, к которым может понести за собой финансовые и экономические издержки для МБУ СОШ №47.
К персональным данным относятся: личная персонифицированная информация сотрудников, учащихся и родителей учащихся МБУ СОШ №47. Доступ к персональным данным должен быть ограничен и разрешен только для легитимных сотрудников МБУ СОШ №47 и иных доверенных лиц.
В соответствии с Постановлением от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» АСУ ОУ может рассматриваться как информационная система персональных данных (далее – ИСПДн), обрабатывающая специальные категории персональных данных объемом менее 100 000 субъектов [9].
С точки зрения актуальных угроз в ИСПДн АСУ ОУ актуальны угрозы 3-го типа, несвязанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Таким образом ИСПДн АСУ ОУ может быть классифицирована как ИСПДн с уровнем защищенности УЗ-3.
В соответствии с нормативным документом Приказ ФСТЭК России от 18.02.2013 N 21 (ред